网络安全研究人员披露新型恶意软件加载器QuirkyLoader的运作细节。该工具自2024年11月起被用于垃圾邮件攻击,通过邮件分发从信息窃取程序到远程访问木马等多种恶意载荷。
恶意载荷分发与攻击手法
- 传播渠道:攻击者混合使用合法邮件服务商及自建邮件服务器发送垃圾邮件。
- 载荷类型:通过QuirkyLoader分发的恶意软件包括Agent Tesla、AsyncRAT、Formbook、Masslogger、Remcos RAT、Rhadamanthys窃取程序及Snake键盘记录器。
- 技术核心:邮件附带恶意压缩包,内含三个文件——合法可执行程序、恶意DLL文件及加密载荷。攻击采用DLL侧加载技术:运行合法程序时同步加载恶意DLL,该DLL随后解密载荷并通过进程镂空技术将其注入以下任一进程:
AddInProcess32.exe、InstallUtil.exe或aspnet_wp.exe。
针对性攻击活动
IBM X-Force观察到近期两起攻击活动:
1、中国台湾定向攻击(2025年7月)
针对网络安全公司Nusoft Taiwan(新北市)员工,旨在部署Snake键盘记录器窃取浏览器敏感数据、键盘输入及剪贴板内容。
2、墨西哥无差别攻击(2025年7月)
随机分发载荷,主要投放Remcos RAT与AsyncRAT远程控制木马。
技术特征与规避手段
- 开发语言:攻击者持续使用.NET语言编写DLL加载模块。
- 编译技术:采用预编译(AOT)技术将代码转为原生机器码,使二进制文件呈现类似C/C++程序的静态特征,增加分析难度。
- 攻击规模:过去数月活动有限,但近期攻击频率显著上升。
关联威胁趋势
1、二维码钓鱼(Quishing)演进
攻击者采用新型规避技术:将恶意二维码分裂为两部分,或将其嵌入合法二维码中。此类攻击通过钓鱼工具包(如Gabagool和Tycoon)传播,可绕过传统安全检测。
2、PoisonSeed钓鱼工具包
攻击者利用该工具包窃取凭证及双因素认证(2FA)代码,通过劫持账户发起加密货币诈骗。其钓鱼域名仿冒Google、SendGrid、Mailchimp等知名服务,并采用精准验证钓鱼技术:后台实时验证邮箱有效性,同时向用户展示伪造的Cloudflare验证页面,通过验证后呈现仿冒登录表单窃取凭证。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容